|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Ilya Kulagin 2:5020/871.18 20 Jun 2006 15:30:16
To : Vitaly Ostapenko
Subject : Шифрование трафика
--------------------------------------------------------------------------------
>>> Только вот не знаю, какой порт нужно открыть в бранбмауэре чтобы
>>> было всё ОК.
>> TCP:1723 и GRE.
VO> Открыл следующие порты и ничего. Может ещё что ни-будь?
Да. В смысле, именно что "ещё что-нибудь".
VO> ipfw add allow tcp from any to any dst-port 1723,47
Плохой, неправильный метод. Во-первых, from any to any лишний по любому.
Во-вторых, TCP:47 это ни разу не GRE. В-третьих, ответы TCP идут не на dst-port
1723, а с src-port 1723. Чтобы текли tcp соединения, лучше делать так:
ipfw add 1000 allow tcp from any to me 1723 setup
ipfw add 500 allow tcp from any to me established
ipfw add 600 allow tcp from me to any (тут тоже можно сказать established, но
лично я себе доверяю)
GRE - это не TCP. Это отдельный протокол. Как ICMP, например. Поэтому надо
делать
ipfw add 400 allow gre from any to me
ipfw add 400 allow gre from me to any
Hа будущее. Hужны хорошие привычки. Как минимум
- читать внимательно
- нумеровать правила ipfw
- не забывать, что (from any to any) распространяется на транзитный траффик, в
отличие от пары (from me to any) || (from any to me)
- привыкать пользоваться диагностикой, в частности: ipfw show , netstat -rn ,
tcpdump -n -i <имя>
Примите уверение в совершеннейшем к Вам почтении
/kiv
--- kiv@work [Престарелые алкоголики] [Иллюзорных судаков не существует!]
* Origin: Moose 2:5020/871.18 (2:5020/871.18)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
